Analyse von: John Anthony Banes   

 

W32/MindSpark.B (F-Protect); Win32/Toolbar.MyWebSearch.BA (NOD32); PUA.Mindsparki.Gen (QuickHeal)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Potentially Unwanted Application

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Wird möglicherweise manuell von einem Benutzer installiert.

Ändert die Startseite im Internet Explorer des Benutzers. Dadurch verweist die Malware auf eine Website, die möglicherweise Malware enthält, so dass sich das Infektionsrisiko des betroffenen Computers erhöht.

  Technische Details

Dateigröße: 392,064 bytes
Dateityp: EXE
Speicherresiden: Nein
Erste Muster erhalten am: 02 November 2018

Übertragungsdetails

Wird möglicherweise manuell von einem Benutzer installiert.

Installation

Schleust die folgenden Dateien ein:

  • %AppDataLocal%\NewNoteCenterTooltab\TooltabExtension.dll
  • %User Temp%\nsl{random}.tmp\cancel_blue_1485898776659.bmp
  • %User Temp%\nsl{random}.tmp\Install_ENG_1436200260055.bmp
  • %User Temp%\nsl{random}.tmp\installerParams
  • %User Temp%\nsl{random}.tmp\NNC_msi_bg-copy_1501796453152.bmp
  • %User Temp%\nsl{random}.tmp\NNC_msi_bg-copy_1501796469441.bmp
  • %User Temp%\nsl{random}.tmp\nsDialogs.dll
  • %User Temp%\nsl{random}.tmp\reporting
  • %User Temp%\nsl{random}.tmp\secondary_accept.png
  • %User Temp%\nsl{random}.tmp\secondary_bg.png
  • %User Temp%\nsl{random}.tmp\secondary_decline.png
  • %User Temp%\nsl{random}.tmp\System.dll

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\NewNoteCenter

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
NewNoteCenterTooltab Uninstall Internet Explorer

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\NewNoteCenter
Start Page = http://hp.{BLOCKED}y.com/newnotecenter/ttab02/index.html?n=C07647D&p2=^CSK^mni000^TTAB02&ptb=23965061-4DF8-416C-8120-5C691D512924&coid=7c0402c57bf44615b80717aa60d2e607

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
NewNoteCenterTooltab Uninstall Internet Explorer
DisplayName = NewNoteCenter Internet Explorer Homepage and New Tab

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
NewNoteCenterTooltab Uninstall Internet Explorer
UninstallString = Rundll32.exe "%AppDataLocal%\NewNoteCenterTooltab\TooltabExtension.dll" U uninstall:NewNoteCenter

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
NewNoteCenterTooltab Uninstall Internet Explorer
Publisher = Mindspark Interactive Network, Inc.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
NewNoteCenterTooltab Uninstall Internet Explorer
HelpLink = http://support.{BLOCKED}ark.com/

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
NewNoteCenterTooltab Uninstall Internet Explorer
URLInfoAbout = http://support.{BLOCKED}ark.com/

HKEY_CURRENT_USER\Software\NewNoteCenter
UnInstallSurveyUrl = http://@{downloadDomain}.dl.{BLOCKED}ay.com/uninstall.jhtml?surveyUrl=http%3A%2F%2Fwww.research.net%2Fr%2FHYSCVNM%3Fc%3D23965061-4DF8-416C-8120-5C691D512924%26ptb%3D^CSK^mni000^TTAB02

Änderung der Startseite von Webbrowser und Suchseite

Ändert die Startseite im Internet Explorer des Benutzers auf folgende Webseiten:

  • http://hp.{BLOCKED}y.com/newnotecenter/ttab02/index.html?n=C07647D&p2=^CSK^mni000^TTAB02&ptb=23965061-4DF8-416C-8120-5C691D512924&coid=7c0402c57bf44615b80717aa60d2e607